ネットワークスペシャリスト 試験情報＆徹底解説

応用情報の平成30年春午後問5の設問3(3)があまり理解できていないので、質問させていただきます。

Webサーバに直接アクセスするのを防ぐためにFWに設定すべきルールを考える問題ですが、応用情報ドットコムや左門本の解説には、「送信元のIPアドレスがWAFのIPアドレスと同じものを許可すればよい」とありました。

WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解しているのですが、これだと、WAF→FWの通信は帰りがけの場合になると思います。
そうであれば、FWがWAFからのパケットを見てWebサーバへの通信を制御することはできないような気がしてしまいます…
Webサーバへのアクセスそのものを制御するのであれば、「ホスト名がw3（Webサーバのホスト名で、WAFサービスに転送される設定になっている）以外のものは遮断する」のが良いと考えました（IPアドレスでアクセスする場合にはWAFを指定する必要があるのでしょうか？）。

そこで質問なのですが、インターネットからWebサーバに通信するパケットは、どのような順番でFWやWAFを通過するのでしょうか？

初歩的な質問かもしれませんが、調べてもあまり納得できる記事がなかったので、こちらで質問させていただきました。
ご回答よろしくお願いいたします。

>ひさん
こんにちは。

>WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解している

IPS/IDSの配置は一旦置いておきますが、アプライアンス、ソフトウェアのWAFであれば、ひさんの認識どおり、FW→WAF→Webサーバの順で通信できるように配置するのが一般的ですね。

一方、本問のWAFはクラウドサービスなので、WAF→FW→Webサーバの順で通信されることになります。

以下の流れになる感じですね。
①A社DNSサーバに問い合わせたら、CNAMEが返ってくる
②B社DNSサーバに問い合わせたら、WAFサービスのIPアドレスが返ってくる
③WAFサービスにHTTPリクエストを投げる
④WAFサービスがHTTPリクエストを検証
⑤A社Webサーバ（実際には負荷分散装置）にHTTPリクエストを転送

A社FWから見ると、⑤の通信の送信元IPアドレスはWAFサービスのものになっている
ため、送信元を絞ることが可能になるという仕組みだと思います。

如何でしょうか。

ご回答ありがとうございます。

クラウド型の場合はインターネット側にWAFが配置されるのですね。
これでFWがWAFのIPアドレスを見ることが出来る理由がはっきりしました。

ご丁寧にデータの流れも示して頂いて、ありがとうございました！